8. septembra 2025 bola kompromitovaná časť softvérových balíčkov najväčšom softvérovom repozitári sveta npm. Útočníkom sa prienik podaril tou najzvyčajnejšou cestou: Cielený phishingový útok úspešne prelomil účet jedného z rešpektovaných prispievateľov do repozitára. Útok pomerne rýchlo odhalila bezpečnostná komunita a aj preto boli jeho dôsledky minimálne. Na krátky moment sa ale digitálny dodávateľský reťazec, na ktorom stojí celý softvérový ekosystém, obrátil proti biznisu.
Útočníci sa zamerali na maintainerov populárnych balíčkov. Jeden z nich dostal phishingový e-mail z falošnej domény, ktorý na prvý pohľad pôsobil ako oficiálna výzva na aktualizáciu dvojfaktorovej autentifikácie. Nechal sa nachytať a útočníci získali prístup k jeho účtu. Do 18 známych balíčkov následne vložili škodlivý kód.
Tieto knižnice majú miliardy stiahnutí mesačne a tvoria základ tisícov ďalších projektov, čo dramaticky zvýšilo potenciálny dosah útoku. Samotný malware bol zacielený na kryptopeňaženky. Kód zachytával volania webových API a menil adresy kryptopeňaženiek tak, aby peniaze, ktoré mali smerovať k používateľom alebo firmám, končili na účtoch útočníkov.
Šírenie bolo rýchle a masívne. Automatizované CI/CD procesy stiahli infikované verzie do desiatok tisíc buildov Spoločnosť Vercel potvrdila, že viac než 70 tímov už použilo škodlivé verzie vo svojich projektoch, kým bol problém odhalený. Po upozorneniach, ktoré prišli do pár hodín od prvej distribúcie, maintainer s nickom Junon zmazal takmer všetky kompromitované balíčky. Následne ho správca repozitára zablokoval, no ešte v ten istý deň bolo jeho konto obnovené a balíčky očistené od útočného kódu. Finančné škody odhadli na približne 970 USD, čo je smiešna suma v porovnaní s tým, aké následky by mohol mať útok, keby pokračoval dlhšie.
Ako priamu reakciu na incident v npm GitHub oznámil, že posilní procesy autentifikácie a publikovania. Pri lokálnom publikovaní bude žiadať dvojfaktorovú autentifikáciu (2FA) a krátkodobé granulárne tokeny s platnosťou len sedem dní. Zároveň zavádza povinné “trusted publishing “priamo z CI/CD pipeline pomocou OpenID Connect (OIDC).
Ste len tak silní, ako váš najslabší dodávateľ
Keď sa naruší dodávateľský reťazec softvéru, dôsledky sa nemusia skončiť len pri okamžitých finančných stratách alebo kompromitovaných kryptopeňaženkách. Takýto incident je v skutočnosti oveľa širším problémom, pri ktorom útočníci získavajú prístup priamo k základnému kódu, ktorý používa obrovské množstvo firiem a koncových používateľov od komunikácie, cez výrobu a logistiku až po fyzickú dopravu produktov a celého spektra poskytovania služieb. Váš produkt alebo služba sa môže stať nástrojom útoku, a to aj bez toho, aby ste o tom vedeli.
Kompromitovaný kód môže skončiť v rukách skupín, ktoré ho začnú predávať na darknetových fórach, napríklad v Číne alebo Rusku. Tam sa z vášho softvéru môže stať „produkt na prenájom“ pre ďalších kriminálnikov, ktorí ho využijú na phishingové kampane, krádeže údajov alebo ransomvérové útoky. Vaša reputácia v tom momente už nehrá žiadnu rolu. Váš kód sa ocitá v kyberzločineckom ekosystéme, kde sa s ním obchoduje ako s komoditou.
Netreba zabúdať ani na právne dôsledky a súvislosti s reguláciami. Ak sa ukáže, že váš produkt obsahuje kompromitovaný kód a útočníci cez neho získali prístup k osobným údajom používateľov, môžete čeliť pokutám na základe regulácie GDPR alebo iných zákonov o ochrane dát. V praxi to znamená nielen finančné sankcie, ale aj dlhodobú stratu dôvery zo strany klientov a partnerov.
Útok na npm poukazuje na nepríjemnú realitu sveta inštitúcií a firiem, ktoré sú zabezpečené iba do takej miery, ako je zabezpečený ich najslabší dodávateľ. Platí to aj pri dodávateľoch, ktorých produkty môžu byť ukryté hlboko vo vašom softvéri. Pri kompromitácii dodávateľských reťazcov pritom vyvstáva hneď niekoľko zásadných rizík:
- Reputačné riziko ak vaša aplikácia obsahuje kompromitovaný kód, zákazníkov nebude zaujímať, že to nebola „vaša chyba“. Vnímajú to tak, že vaša značka ohrozuje ich dáta alebo peniaze. A reputácia sa dá stratiť za pár sekúnd.
- Regulačné riziko, pri ktorom napríklad v Európskej úniii Cyber Resilience Act jasne stanovuje, že firmy musia poznať a mať kontrolu nad tým, čo je v ich softvéri.
- Finančné riziko, keď môže podobný útok priamo presmerovať finančné prostriedky zákazníkov. A aj keby priame straty boli malé, náklady na reakciu či právne spory môžu byť obrovské.
- Prevádzkové riziko spojené najme s CI/CD pipeline, ktoré automaticky sťahujú nové balíčky. Ide o mimoriadne efektívny spôsob ak ide o rýchlosť, no keď sa do reťazca dostane škodlivý kód, šíri sa v hodinách, nie dňoch.
Zvýšiť svoju bezpečnosť v pár krokoch nie je raketová veda
V Binary Confidence sa s týmito rizikami stretávame denne a naprieč odvetviami. Naša kombinácia SOC dohľadu, GRC služieb a CISO poradenstva je navrhnutá tak, aby firmám pomohla nielen pri incidente, ale aj pri budovaní odolnosti vopred. Supply chain útoky sa dajú zmierňovať viacerými spôsobmi a existujú overené praktiky, ktoré dokážu riziko významne znížiť:
Pravidlo “minimum release day”
Útočníci často cielia na moment publikácie updateov. Mnohé tímy majú CI/CD procesy nastavené na automatickú aktualizáciu hneď po ich vydaní. Minimálny odstup medzi vydaním novej verzie a jej nasadením do produkcie efektívne zablokuje možný prienik cez kompromitovaného dodávateľa. Časový “buffer” umožní komunite a bezpečnostným tímom overiť, či balíček neobsahuje škodlivý kód.
Nepoužívať (takmer) vždy najčerstvejšie verzie
Pri bežnej údržbe sa oplatí držať sa o 1–2 verzie pozadu a nasadzovať až tie, ktoré už preveril čas. Samozrejme neplatí to, ak ide o známu zraniteľnosť s vysokou závažnosťou. Kľúčové je mať systém notifikácií z bezpečnostných kanálov, mailing listov a CVE databáz, aby ste vedeli rozlíšiť, kedy čakať a kedy konať.
Overovanie dodávateľov a balíčkov
Nad rámec samotného „minimum release day“ pravidla je kľúčové pravidelne preverovať, odkiaľ balíčky pochádzajú a či sú udržiavané dôveryhodnými maintainermi. Automatizované nástroje dokážu kontrolovať integritu a reputáciu balíčkov, no najlepšia prax je kombinovať tieto dáta aj s vlastným monitoringom a SOC dohľadom.
Ak máte podozrenie, že sa vaše systémy stali cieľom útoku alebo chcete preventívne posilniť vašu kybernetickú ochranu, ozvite sa nám. Vieme, s kým máme do činenia. A vieme, ako sa brániť. Sme vôbec prvá firma, ktorá na Slovensku začala poskytovať služby kybernetického bezpečnostného dohľadu (SOC) a roky sa venujeme aktívnej ochrane pred kybernetickými hrozbami. Pozorne sledujeme aj zákulisie rôznych hackerských skupín. Sme napojení na viaceré zdroje vrátane spravodajských databáz, analytických sietí a sledujeme aj kanály, ktoré pomáhajú internetových zločincov odhaľovať.
Projekt financovaný cez grantovú zmluvu číslo 101145856 je podporovaný Európskym kompetenčným centrom pre kybernetickú bezpečnosť.
